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TERMINAL DE TELECOMMUNICATION A DEUX ESPACES D'EXECUTION 

■ 

L'invention concerne ('execution de programmes et applications, sur 
un dispositif informatique a interface utilisateur (clavier, ecran, carte son, 
5 zone tactile, souris, etc.), par exemple sur une passerelle domestique, 
une machine de vente (machine publique par exemple) ou encore sur un 
terminal de t6I6communications (du PC - ordinateur personnel - au 
telephone mobile). 

On connaTt differentes approches pour I'imple mentation 
10 duplications dans les terminaux de telecommunications. 

Ainsi, le profil MIDP 2.0. , sur machine virtueile, met en oeuvre une 
police de s6curit§ basee sur des standards ouverts, simple £ utfliser, qui ne 
demande rien a I'utiiisateur, qui prend en compte les besoins de chaque 
intervenant, du d6veioppement a ('execution (on separe les concepts 
15 d'utilisateur, d'operateur, d'OEM, de tierce partie de confiance). 

II permet de proteger Pintegrite et verifier I'origine des applications 
pendant le teiechargement et I'execution de celles-ci, de contra ler I'acces 
aux ressources critiques suivant une politique de securite, d'averttr 
Tutilisateur de ce qui se passe, et peut mdme lul demander son avis. 
20 La prise en compte de la politique de securite se fait assez 

simplement, au niveau d'une API £ proteger, par un appel & la methode 
« check permission » de la ciasse « Midlet » (figure 2). 

Ceci demande que la fonction d'appel deflchier MIDP ne sort pas 
accessible directement depuls les programmes MIDP (fonction protected). 
25 La politique de securite de MIDP 2.0 est tres adaptee aux besoins 

des divers intervenants. La possibility de demander I'avis de r utilisateur 
suivant un certain nombre de criteres (toujours, une fois, pour une session, 
jamais) est tres avantageuse. 

II n'en reste pas moins que son implementation pose deux types de 
30 problemes. 

Tout d'abord, l'ex6cution de la procedure protegee se fait dans le 
meme espace d'execution que le programme appelant, ce qui facilite le 
risque de « fuites ». Imaginons ainsi un service de chiffrement appele par 
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deux midlets sirnultanement rien ne garantit si on n'y fait gudre attention 
qu'une midlet ne pourra recuperer le contenu de la cle privee utilisee par 
l'autre midlet. 

Le premier probieme est done un manque de securite, notamment 
5 pour les applications a risque telles que le paiernent, la signature ou encore 
par exemple les applications DRM. 

Des exploits ont d'aiileurs montr6 qu'avec une erreur 
^'implementation, on pouvait passer outre ce systeme de permissions. 

Le deuxteme probieme du profil MIDP est pose par les specifications 
10 du profil MIDP lui-meme. li n'est pas adapte a la preuve formelle de 
programmes. Cela pose un probieme dans certains secteurs (notamment 
banquiers) ou une midlet ne peut etre mod6lis6e par des methodes 
formelles, et doncne peut pas etre certifiee par ces methodes. 

En d'autres termes, il n'existe pas de technique permettant de 
15 prouver, par des methodes formelles, la validite par rapport a des 
specifications d'un programme programme dans ce profil. 

Un autre profit, le profil STIP, est iui plus specialement adapte pour 
donner acc£s & des APIs orientes quant & la securite, telles que I'acces a la 
SIM. 

20 Les machines vlrtuelles STIP (figure 3) permettent de faire 

fonctionner les programmes specialement 6crits pour le profil STIP. 

L'autre force de STIP est que son modele de programmation et ses 
APIs se pretent bien & ['analyse suivant les methodes formelles. Cela a 
permis d'ailleurs de rallier le milieu bancaire a son design, car la conformite 
25 du code aux specifications peut §tre prouvee de maniere formelle, 

Aussi le profil STIP, utilise dans le milieu bancaire, est, par ses 
limitations, adapte & la preuve de programmes. 

Toutefois, le profil STIP a ete congu pour des systemes ferrnes (on 
n'y teiecharge pas impunement des applications dont on n'a pas 
30 confiance). 

Ainsi aucun modele de securite n'est mis en place (dans la version 
2.1.1 • de la specification), et done toute application STIP (stiplet) peut 
acceder a n'importe quelle API de type STIP deja impl6mentee. 
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Le profil STIP n'est done pas adapt§ pour la realisation de terminaux 
ou un utilisateur est susceptible de tetecharger et mettre en oeuvre des 
applications courantes telles que jeux ou applications utilitaires divers. 

L'invention se donne ici pour but de proposer une configuration 
5 permettant, dans un terminal de telecommunications, de mettre en ceuvre k 
la fols des applications d'utilisateur diverses, et a la fois des applications 
requerrant un haut niveau de securite. 

L'invention vise en outre & faciliter la programmatlon et la mise en 
oeuvre duplications, notamment en facilitant la certification du bon 
10 fonctionnement des applications nouvellement programmes; 

On connart certes le principe des telephones mobiles hebergeant 
deux machines virtuelles sous la forme physique de deux processeurs, Tun 
constitues par le terminal lul-m§me et Tautre constitu6 par la carte SIM. 

La carte SIM verifie des exigences de security elevees, tandis que le 
15 processeur du terminal lui-meme et son contenu sont, eux, accessibles par 
Tutilisateur. 

Toutefois une telle implementation . pr6sente encore certains 

inconvenient majeurs. 

Ainsi un autre but de l'invention est de proposer un dispositlf. associ6 

20 en reseau ou pas, dans lequel un espace securis§ et un espace non 
securis6 sont tous deux mis a profit, par exemple en permettant S I'espace 
s6curis6 d'acceder aux Interfaces utilisateurs telles que clavier ou ecran a la 
place de I'espace non securise, et a contrario permettre par exemple & 
I'espace non s6curis6 d'acc6der £ une communication securisee avec un 

25 operateur connu pour garantir une telle securite. On cftera notamment, en 
tant que tel op§rateur de security les op6rateurs de telephonie, notamment 
mobile, les banques, les fournisseurs d'objets multimedia a diffusion 
selective ou payante, les op§rateurs de fourniture de service contre 
signature electronique via ledit dispositif. 

30 Des fournisseurs d'objets multimedia a diffusion selective sont 

notamment les « DRM » ( Digital Rights Management, gestion des droits 
sous licence), serveurs qui delivrent un contenu typiquement musicaI,video 
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ou de jeu, sous licence, et sous la forme d'un fichier prevu pour etre lu sous 
diverses contraintes, par exemple un certain nombre de fois. 

Un but de I'invention est de proposer de tels moyens dans lesquels, 
en outre, on puisse etre certain que (es deux espaces d'execution associes 
5 (I'un a securite plus elevee que I'autre) soient effectivement ceux qui etaient 
destines ou autoris6 & dtre associes I'un a I'autre ab initio. 

Ces buts sont atteints selon ['invention- grace a un dispositif 
informatique a interface utilisateur, comprenant des moyens de mise en 
oeuvre d'une serie d 'applications, ces moyens incluant notamment un 

10 espace d'execution machine virtuelle/profil de fbnctionnement, le dispositif 
comportant un second espace d'execution machine virtuelle/profil de 
fonctionnement se distinguant du premier par au moins sa machine virtuelle 
ou son profil de fonctionnement, chaque espace d'execution hebergeant 
des applications, les applications du second espace d'execution etant des 

15 applications a degre de securite specifiquement plus elev6 que ceiui des 
applications du premier espace d'execution du fait que les applications du 
premier espace d'execution sont des applications mises en places et 
activSes par I'utilisateur du terminal tandis que les applications du second 
espace d'execution sont des applications non modcfiables par Tutilisateur du 

20 terminal, caract£ris6 en ce que les deux espaces d'execution sont h6berg6s 
par un moyen physique de traitement qui est agence pour etre non 
sclndable en deux parties sans destruction de ce moyen physique de 
traitement. 

On propose egalement selon ('invention un procede de mise en 
25 oeuvre d'applications au sein d'un dispositif informatique a interface 
utilisateur, le procede faisant appel S des moyens de mise en oeuvre d'une 
serie d'applications, ces moyens incluant notamment un espace d'execution 
machine virtuelle/profil de fonctionnement et un second espace d'execution 
machine virtuelle/profil de fonctionnement se distinguant du premier par au 

■ ♦ 

30 moins sa machine virtuelle ou son profil de fonctionnement, chaque espace 
d'execution hebergeant des applications, les applications, du second espace 
d'execution etant des applications a degre de securite specifiquement plus 
eleve que celui des applications du premier espace d'execution du fait que 
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les applications du premier espace d'execution sont des applications mlses 
en place et activees par I'utillsateur du terminal tandis que les applications . 
du second espace d'execution sont des applications non modifiables par 
I'utilisateur du terminal, caracterise en ce que les deux espaces d'execution 
5 sont heberges par un moyen physique de traitement qui est agence pour 
etre non scindable en deux parties sans destruction de ce moyen physique 
de traitement. 

D'autres caracterfstiques, buts et avantages de [Invention 
apparaitront a la lecture de la description d6taillee qui va suivre, faite en 
10 reference aux figures annex§es sur lesquelles : 

* 

- la figure 1 est un schema illustrant une implementation MIDP selon 
Tart anterieur ; 

- la figure 2 est un schema illustrant la mise en oeuvre de moyens de 
protection dans une telle implementation MIDP ; 

15 - la figure 3 est un schema illustrant une implementation STIP, 

conforme a Tart anterieur ; 

- la figure 4 illustre une configuration fonctionnelle d ? un terminal 
conforme a I'invention, selon une variante preferentielle. 

Le mode particulier de realisation que I'on decrira maintenant permet 
20 de beneficier du meilleur des deux techniques MIDP et STIP, donn6es £ 
titre d'exemple, au sein d'un envlronnement d'execution coherent. 

On y constitue le profil « utilisateur », le profil MIDP. Ce profil est trds 
populaire dans le monde mobile pour la creation de jeux et d'appiications 
utilitaires diverses. L 1 utilisateur peut ainsi telecharger et executer des 
25 applications qu'il trouve sur le reseau, comme fl le ferait avec un telephone 
MIDP courant Le profil MIDP inclut done ici des applications mises en 
place et activees par I'utilisateur lui-meme. 

Le profil STIP constitue ici un profil additionnel, et plus 
specifiquement un profil « operateur ». Le profil STIP est tr6s adapt§ aux 
30 applications qui demandent un haut niveau de securite, telles que les 
. applications bancaires. Ainsi, les consortiums bancaires ont dej^ . fait 
confiance en la possibility de certifier des applications STIP par des 
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methodes formelles pour les imptementer dans des terminaux de paiement 
electronique (TPE). 

La presents invention permet done de foumir aux developpeurs un 
ensemble d'API operateur dont I'exScution est assuree dans un espace 
5 d'execution approprie a la programmation aisee par ces developpeurs, 
espace de meme profil ou non, totalement distinct. 

Ce mode de realisation permet done a I'operateur de foumir un lot 
d'applications securisees, telles que paiement, de signature ou encore de 
DRM, totalement indSpendant du profil d'execution des applications 
10 « courahtes ». 

Le terminal represents en figure 4 inclut et fait fbnetionner en 

♦ 

harmonie deux machines virtuelles 100 et 200 de profil distincts P1 et P2 
(ou non). L'une 100 des deux machines est dediee aux applications 
utilisateurs, Tautre 200 aux applications de I'operateur. 

* 

15 Les profils correspond ants P1 et P2, ici respectivement le profil 

MIDP et le profil STIP, sont ici eux-memes dedies respectivement aux 
applications litilisateur et aux applications operateur. 

A la figure 4, on a represents ainsi deux machines virtuelles 100 et 

200. 

20 La machine virtuelle « utilisateur » 1 00 est mise a disposition de 

Tutilisateur pour telecharger, installer, desinstaller, exScuter, stopper, 

4 

comme bon lui semble des applications dans le profil MIDP. Les 
applications 110 qui y toument utillsent I'API 120 de ce profil, alnsi qu'une 
API « stub » au meme profil que celui de la machine 100, cette API stub 
25 Stant rSferencSe 1 30 sur la figure 4. 

La deuxieme machine, referencee 200, est la machine virtuelle 

* 

« operateur » : seul I'opSrateur, par exemple Toperateur de telephonie 
mobile ou encore I'operateur internet (foumisseur d'accds), par un 
mScanisme OTA (Over The Air), peut administrer cat espace d'ex6cution. 
30 II peut y installer, desinstaller, activer, dSsactiver comme bon lui 

semble des applications 210 ecrites suivant le formalisme du profil 100. Ces 
applications 210 ont acces aux APIs 220 du profil P2 et a une ou plusieurs 
API de haut niveau illustrees sous la reference 230 sur la figure 4. 
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Ces API de haut niveau 230 permettent d'acc6der & des services 
offerts par le profil de la machine 1 00. Uacces aux APIs, que ce soit du 
profll de la machine 200 ou du stub 230 au profil de la machine 100, se fait 
suivant le modele de securite inherent au profil de la machine 200. % 
5 UAPI «.stub » 130 est une API de haut niveau, exprimee suivant le 

mod&le de programmation du profil 100, permettant d'acceder £ des 
services offerts par le profil P2. L'acces aux APIs, que ce soit au profil de la 
machine 100 ou d'un stub 130 se fart suivant le modele de securite inherent 
au profil P1 de la machine 100. 
10 Le fonctionnement des stubs 1 30 et 230 est le suivant : 

L'appel a une API du stub 130, 230 est transforme en flux d'octets 
(processus de serialisation, ou marshalling/unmarshalling suivant les 
appellations). 

Ce flux est regu par un manager 140, 240 du profil oppose via ur> 
15 canal de communication 300, deserialise et converti en ('execution d'une 
procedure dans le profil distant. Le retour d'execution de cette procedure 
est de nouveau serialise dans le profil distant, et repasse dans le canal de 

■ 

communication 300 entre les deux profils P1 et P2 des machines 100 et 
200, la r6ponse est d6s£rialls6e dans le profil originel et transformee en 
20 retour d'appel de TAP! « stub ». 

. Ainsi, on dispose de deux espaces d'ex6cution independants 
consistant ici chacun en une machine differente et un profil different, et en 
relation tres etroife par I'interiDedlaire d'APl stub 130 et 230. 

En variante, les deux profils P1 et P2 peuvent etre du m§me type, 
25 par example deux profils MIDP ou deux profils STIP pour deux machines 
d iff 6 rentes. 

On notera egalement que i'on peut adopter deux profils PI et p2 
differents au sein d'une m§me machine virtuelle. 

Ce mode de realisation permet done d'offrir une API de p.aiement 
30 aux developpeurs d'applicatiops MIDP, oCi le paiement lui-meme 
S ' e ff ec tuera dans le cadre de I'execution d'une machine virtuelle STIP 
controlee par i'operateur. 
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En d'autres termes, une application MIDP, d§velopp6 ais6ment, 
pourra offirir un moyen de paiement a I'utilisateur en faisant fonctionner une 
application de paiement de la machine 200 via le lien de communication 
300. Une application MiDP est done, grace a IMnvention, capable d'offrir une 
5 fonctionnalite de paiement de grande fiabiiite. 

Les deux espaces d'execution, 100 et 200, chacun constitu£ par un 
couple machine virtuelle/profil d'execution, differents Tun de Tautre par le 
profil ou par la machine vlrtuelle, sont toutefois tous deux implementes par 
une meme dispositif physique de traitement 400 (meme entft§ hardware 
10 400). 

Ce dispositif de traitement h£bergeant les deux espaces d'execution 
est unique en ce sens qull ne peut etre scinde sans destruction de son 
fonctionnement 

Ainsi il est impossible de separer physlquement les deux espaces 
15 d'execution, et done §galement impossible d'associer un espace ainsi 
separe avec un autre espace, lui non autoris6. 

Un telle realisation sur moyen unique est obtenue par exemple en 
implementant les deux espaces d'execution sur un m§me circuit int£gr£ 
formant un unique processeur 
20 On assure ainsi que deux environnements, Fun s6curis6 et Tautre 

non securis6, sont indissdciables. 

* » 

La securite propos6e par un op6rateur (telephonie, banque, 
administration a signature, diffuseur multimedia) s'en trouve amelioree, qu'il 
s'agisse d'emp£cher des d6toumements de fonctions de paiement, 
25 d'assurer la confidentialite ou la non falsification de codes secrets, de 
fiablllser I'usage d'une signature electronique, ou encore de veiller a 
emp§cher de depasser des droits d'utilisation limitds d'eeuvres payantes. 

Avantageusement, les profils P1 , P2 de chacun des deux espaces 
d'execution 100, P1, 200, P2 sont respectivement un profil STIP et un profil 
30 faisant partie du groupe constitue des profils STIP, MIDP, OSGl, et « .net ». 
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REVENDICATIONS 

5 

1. Dispositif informatique a interface utilisateur, comprenant des 
moyens de mise en oeuvre d'une s6rie d'applications, ces moyens inciuant 
notamment un espace d'execution machine virtuelle/profil de 
fonctionnement (100, P1, 200, P2), le disposltif comportant un second 
10 espace d'execution machine virtuelle/profil de fonctionnement (100, P1, 

■ 1 « 

200, P2) se distinguant du premier par au mbins sa machine virtuelle (1 00, 
200) ou son profil de fonctionnement (P1, P2), chaque espace d'execution 
hebergeant des applications (110, 120, 130, 140, 220, 230), les 
applications du second espace d'execution (100, P1, 200, P2) eta nt des 
15 appfications & degre de securite specifiquement plus eieve que celui des 
applications du premier espace d'execution (100, P1, 200, P2) du fait que 
les applications (110, 120, 130, 210, 220, 230) du premier espace 
d'execution (100, P1, 200, P2) sont des applications modifiables par 
i'utilisateur tandis que les applications (110, 120, 130, 210, 220, 230) du 
20 second espace d'execution (100, P1, 200, P2) sont des applications non 
modifiables par Putilisateur, caracterise en ce que les deux espaces 
d'execution sont heberg£s par un meme moyen physique de traitement 
(400) qui est agence pour etre non scindable en deux parties sans 
destruction de ce moyen physique de traitement (400). 
25 2. Dispositrf selon la revendication 1, caracterise en ce que les 

applications (110, 120, 130, 210, 220, 230) du second espace d'execution 
(100, P1, 200, P2) sont des applications modifiables par un operateur de 
securite appartenant au groupe constitue des op£rateurs de tetephonie, 
banques, fournisseurs d'objets multimedia a diffusion selective ou payante, 
30 operateurs de fourniture de services contre signature electronique via ledit 
dispositif. 

3. Dispositrf selon la revendication 1 ou la revendication 2, 
caracterise en ce qu'if constitue un terminal telephonique. 
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4. Dispositif selon la revendicatfon 3, caracteris6 en ce qu'il constltue 
un terminal de telephonie mobile. 

■ 

5. Dispositif selon Tune quelconque des revendications precedentes, 
caract6ris§ en ce qu'il comporte des moyens de communication (130, 230, 

5 300) entre les deux espaces d'execution (1 00, P1 , 200 f P2). 

6. Dispositif selon la revendication 5, caracterise en ce que les 
moyens de communication (130, 230, 300) entre les deux espaces 
d'execution sont prevus pour autoriser une application (130, 230) d'un des 

* * » 

deux espaces d'execution a faire appel a des moyens de traitement du 
10 second espace d'execution (100, P1, 200, P2). 

* 

7. Dispositif selon Tune quelconque des revendications precedentes, 
caracterise en ce que chacun des deux espaces d'execution inclut au 
moins une API distincte (120, 130, 220, 230). 

8. Dispositif selon Tune quelconque des revendications precedentes, 
15 caracterise en ce que les moyens de communication incluent une API 

« stub » (130, 230) ayant pour role de faire appel a des ressources de 
I'espace d'execution oppose (100, P1, 200, P2), ces ressources mettant en 
oeuvre une selection quant a l-acces a elles-memes en fonction de 
Tapplication (1 1 0, 210) les appelant 
20 9. Dispositif selon Tune quelconque des revendications precedentes, 

caracteris6 en- ce que les moyens de communication entre les deux-' 
espaces d'execution (100, P1, 200, P2) incluent des moyens mettant en - 
oeuvre une serialisation/deserialisation ou un marshaliing/unmarshaliing. 

10. Dispositif selon I'une quelconque des revendications 
25 pr6c6dentes, caract6ris6 en ce que Tun des deux espaces d'execution 

(100, P1 , 200, P2) inclut un profil de type STIP. 

■ 

11. Dispositif selon Tune quelconque des revendications 
precedentes, caracterise en ce que Tun des deux espaces d'execution 
(1 00, P1 , 200, P2) inclut un profil MIDP. 

30 12. Dispositif selon I'une quelconque des revendications 

precedentes, caracterise en ce que les profils (P1, P2) de chacun des deux 
espaces d'execution (100, P1, 200, P2) sont respectivement un profil STIP 
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et un profit faisant partie du gnoupe constitue des profils STIP, MIDP, OSGI, 
et « .net ». 

13. Proc6d6 de mise en oeuvre d'applications au sein d'un dispositif 
informatique & interface utilisateur, le procede faisant appel k des moyens 
5 de mise en oeuvre d'une serie d'applications, ces moyens incluant 
notamment un espace d'execution machine vlrtuelle/profil de 
fonctionnement (100, P1, 200, P2) et un second espace d'execution 
machine virtuelle/profil de fonctionnement (100, P1, 200, P2) se distinguant 
du premier par au moins sa machine virtuelle (100, 200) ou son profil de 

10 fonrtiohhernent (P1, P2), chaque espace d'execution (100, P1, 200, P2) 
hebergeant des applications, ies applications du second espace d'execution 
(100, P1, 200, P2) etant des applications a degre de securite 
specifiquement plus eleve que celul des applications du premier espace 
d'execution (100, P1, 200, P2) du fait que Ies applications (110, 120, 130, 

15 210, 220, 230) du premier espace d'execution (100, P1, 200, P2) sont des 
applications modrfiables par I'utilisateur tandis que Ies applications (110, 
120, 130, 210, 220, 230) du second espace d'execution (100, P1, 200, P2) 
sont des applications non modifiables par Tutilisateur, caracterise en ce que 
Ies deux espaces d'execution sont heberges par un meme moyen physique 

20 de traitement (400) qui est agenc6 pour §tre non scindable en deux parties 
sans destruction de ce moyen physique de traitement (400). 
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